Operbes SA de CV, una de las empresas contratadas para hacerse responsable de la ciberseguridad de Petróleos Mexicanos (Pemex) –que fue objeto de intentos de ataques cibernéticos recientemente– tiene antecedentes de fallas en dispositivos provistos y costos elevados, de acuerdo con dictámenes de la Auditoría Superior de la Federación (ASF).
De acuerdo con los registros de Compranet consultados por LA SILLA ROTA, esta firma, que es una unidad de Televisa, ganó 7 mil 670 millones 543 mil 126 pesos de presupuesto federal de 2002 a 2018, como proveedor de telecomunicaciones privadas a dependencias como las Secretarías de Hacienda (SHCP), Relaciones Exteriores (SRE), Comunicaciones y Transportes (SCT) y la presidencia de la república, entre otras. El 75.52 por ciento de sus ganancias lo obtuvo en el sexenio de Enrique Peña Nieto.
Al revisar el contrato PMX-2018-294-281 celebrado con Tecnologías de Información América, en conjunto con Operbes, Servicios OPERBES, Soluciones Integrales Saynet y Asesorías Integrales TI SC (TI América), la ASF expuso que, aunque cuenta con el sistema contra la vulnerabilidad digital, en diciembre de 2018 Pemex presentó 443 mil 240 eventos de seguridad detectados por sus herramientas de prevención de intrusos y su antimalware, bloqueados para evitar una afectación a los usuarios de la red.
Por este servicio, en el segundo semestre del año anterior, Petróleos Mexicanos pagó 65 millones 342 mil 400 pesos; sin embargo, la vigencia es del 10 de julio de 2018 al 10 de julio de 2021, por un monto mínimo de 714 millones 139 mil 300 miles de pesos y máximo de 804 millones 512 mil 100 pesos. Además, en febrero de 2019 contabilizó 323 mil 793 ataques más, de acuerdo con la inspección de cumplimiento 449-DE que la ASF realizó a las Tecnologías de Información y Comunicación de Pemex como parte de la cuenta pública 2018.
En su dictamen, el órgano fiscalizador alertó que el proveedor que administra y monitorea los servicios de Comunicación Segura para el acceso a internet de la empresa petrolera puede interceptar, extraer y almacenar información sensible a través de sus herramientas. También, añadió, tiene conocimiento del origen y destino de los datos, así como del remitente y destinatario.
Asimismo, la Auditoría no identificó mecanismos de control que alerten a Pemex para evitar posibles fugas de información por parte del prestador de servicios.
Confirmó, además, que en la asignación del contrato no existió un análisis basado en las necesidades de la entidad, antes de la elaboración de las bases, por lo que concluyó que Pemex “no realizó un dimensionamiento para determinar la capacidad de los recursos requeridos en el contrato”; es decir, garantizar que el monto erogado fuera justo.
A través de redes sociales, usuarios de Pemex reportaron desde la mañana del 10 de noviembre fallos en la red interna, por lo que les pedía no ingresar a sus equipos de cómputo por una especie de contingencia.
Petróleos Mexicanos justificó que su red interna, “al igual que todas las grandes empresas e instituciones gubernamentales y financieras, nacionales e internacionales, recibe con frecuencia amenazas y ataques cibernéticos”, los cuales, aseguró, no han prosperado, aunque reconoció el daño a al menos cinco por ciento de sus equipos. Esto, declaró en un comunicado, no comprometía su operación.
En redes, no obstante, los trabajadores referían un ataque de ransomware, que impide acceder a los archivos y exige un pago de rescate.
Servicio con fallas en SCT
En la auditoría DE-036 practicada a la SCT como parte de la fiscalización de la cuenta pública 2014, el órgano inspector detectó irregularidades en la operación de sitios de conectividad que Operbes proveyó para proyectos de acceso a tecnologías de la información.
En un informe de sitios que presentaron niveles de disponibilidad menores a los establecidos, al menos un mes, la ASF encontró que en el denominado 40 Ciudades –que consistía en el acceso a una red nacional para democratizar el acceso a los servicios de telecomunicaciones en favor de la investigación, salud, gobierno y educación– Operbes registró 27 con indisponibilidad, lo cual ameritaba una penalización de 6.4 millones de pesos; además, otros 48 en el proyecto N6, que ascendían a 11.4 millones, y 3 mil 265 con rendimiento menor a los rangos mínimos estipulados en los contratos que recibió en el proyecto N7, que representaban 772.6 millones de pesos de sanción.
Sin embargo, la ASF identificó que la mayoría de los usuarios finales no levantaron incidentes de falta de disponibilidad, lo que imposibilitó identificar la causa de la falla y poder contar con elementos que soporten la aplicación de penalizaciones.
Además, respecto al uso que se le dio a los sitios, constató que en el proyecto N7 la SCT contrató a Operbes una capacidad promedio mensual de 2 mil 806.9 gigabytes (GB), pero en promedio utilizó 78.8; es decir, 7 por ciento.
En el N6 el margen fue más bajo, ya que de los 2 mil 930.1 GB contratados, en promedio se utilizaron 23.2, que equivale a menos de un punto porcentual: 0.8.
La Auditoría, que requirió la información para valorar el rendimiento, informó que la SCT argumentó que no contaba con información para el proyecto 40 Ciudades.
Por tres contratos, esta empresa ganó 135 millones 341 mil 100 pesos. El órgano fiscalizador determinó que sitios bajo su responsabilidad se encontraban desaprovechados y se pagaba un servicio que no se utilizaba. Además, otro contrato, identificado con el número 561, fue otorgado a “Operbes y otros” –aunque no se especifica cuáles son esas otras compañías–, por 20 millones cinco mil 800 pesos.
También falló al Issste
En la auditoría DS-102 para revisar la Adjudicación de Servicios de Telecomunicaciones Internas del Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado (Issste), la ASF igualmente hizo observaciones por el rendimiento de Operbes.
El ente federal indicó en su dictamen que en 2010 el ISSSTE licitó servicios de telecomunicaciones privadas. El contrato se le otorgó a esta firma, que ofertó 2 mil 79 millones 976 mil 200 pesos, importe mayor en 418 millones 586 mil 600 pesos (25.2%) al presentado por Teléfonos de México (Telmex).
La justificación del Instituto fue que Telmex, cuya propuesta técnica fue desechada, no cumplió con los requisitos de la convocatoria, por lo que su propuesta económica no fue evaluada. No obstante, la ASF afirmó que no hay elementos para demostrar que con la adjudicación del contrato se garantizaron las mejores condiciones para el estado; tampoco, agregó, se justificó técnicamente por qué la propuesta que resultaba 418 millones inferior a Operbes fue desechada.
Debido a que el 16 de enero de 2007 el Issste firmó un contrato con Telmex que tenía vigencia al 31 de diciembre de 2009, al no renovarlo, Operbes estaba obligado a pagarle la continuidad de los servicios durante el proceso de la migración de los servicios de voz y datos, conforme lo estipulan las bases de licitación.
Como consecuencia de esto, Telmex promovió el 17 de diciembre de 2010 una demanda por la vía ordinaria mercantil en contra del Issste, en la cual reclamó el pago de los servicios de telecomunicaciones proporcionados al instituto utilizando sus dispositivos, desde el 1 de marzo de 2010 —fecha en que Operbes comenzó a prestar los servicios— hasta diciembre, y requirió, entre otras prestaciones, el pago de 409 millones 275 mil 100 pesos.
Operbes, con base en los resolutivos, no contaba con la infraestructura para realizar el servicio, e incumplió el contrato, ya que en diciembre de 2010 sólo había instalado 330 nodos (44.0%), cuando la meta era de 750.
MJP